現在我有一個簡單的拓撲,帶有 debian 網關、幾個託管交換器和接入點。
我想在我的拓撲中新增 3 個 VLAN,並且可能在 debian 網關上使用 802.1Q,以便 VLAN 之間的所有流量都將通過網關防火牆。
網路中很多主機都手動設定了網關的IP。
這是我需要幫助的地方。
我想在Debian 網關上使用Linux 橋接介面功能,以便在我的網路(eth1) 內部查看的實體連接埠將接受新的VLAN、沒有VLAN id(未標記)的幀,同時也可以使用相同的舊IP 進行存取透過所有新的 VLAN。類似家庭 Wi-Fi 路由器的功能。
假設我將使用 /etc/network/interfaces 和 VLAN 包,我的拓撲和配置應該是什麼樣子?
我是否只在 eth0 上建立 VLAN,為每個 VLAN 添加“vlan_raw_device eth0”,並且只為 eth0 本身設定 IP 位址?
或者我應該建立一個網橋,將所有 VLAN 介面和 eth0 放入其中,並將 IP 位址從 eth0 移至網橋?
如果我不在端點 Devian 上進行此類配置(而不是網關),則如果指定為預設網關的裝置也具有兩個 VLAN,則哪個端點的 VLAN 介面將用於到 Internet 的傳出流量?
我是否必須將交換器側的連接埠設定為中繼模式?
是否有任何環路問題,因為交換器可能無法進行 PVST。
答案1
這樣,在我的網路 (eth1) 內部查看的實體連接埠將接受兩個新的 VLAN、沒有 VLAN-id 的訊框(未標記)
那是行不通的。您需要在 NIC 上配置一個子接口,為從交換器端口中繼的每個標記 VLAN 提供 802.1q VLAN 標記。
同時還可以透過所有新 VLAN 使用相同的舊 IP 進行訪問
這也是不可能的:VLAN 是第 2 層網段,需要使用自己的 IP 子網路才能啟用路由。由於終端節點使用的每個網關都需要成為終端節點子網路的一部分,因此您不能在新子網路中使用舊網關 IP。
您也不能將舊的 IP 位址和子網路與新的 VLAN 一起使用,因為要讓路由正常運作,您需要明確的、不重疊的子網路。
如果將 VLAN 橋接在一起,它們實際上就合而為一了,而您卻一無所獲。
正確的做法是:
- 在 Debian 網關上設定子接口,在連接交換器上設定 VLAN。在交換器和網關之間中繼 VLAN(如標記)。為每個子介面和 VLAN 配置(新)IP 子網路。測試連通性。
- 將新 VLAN 中繼到其他交換器。測試連通性。
- 將現有主機移至預期的 VLAN(存取模式下的交換器連接埠和未標記/本機的 VLAN) - 如有必要,一一移動。指派新的 IP 位址和預設網關。我建議使用 DHCP 進行集中 IP 管理。
如果您不在網關上橋接,也不在交換器之間建立冗餘鏈路,則不需要 RSTP/MSTP/RPVST+。無論如何,我建議考慮它,因為它提供了良好的循環保護,以防有人意外創建反向連結。只需確保選擇一個好的根橋並將所有邊緣連接埠置於portfast或admin-edge-port模式,具體取決於交換器供應商。而且當然,全部交換器需要使用相同的協定參與(RSTP 和預設 MSTP 可以互通,RPVST+ 則不能)。